Megosztás a következőn keresztül:

Incidensek vizsgálata a Microsoft Defender portálon

  • Cikk
  • A következőre érvényes::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Defender portál az összes objektumból származó, korrelált riasztásokat, eszközöket, vizsgálatokat és bizonyítékokat jeleníti meg egy incidensben, így átfogó képet kaphat egy támadás teljes terjedelméről.

Egy incidensen belül elemezheti a riasztásokat, megértheti, hogy mit jelentenek, és összegyűjtheti a bizonyítékokat, hogy hatékony javítási tervet alakíthat ki.

Kezdeti vizsgálat

Mielőtt belemerülnénk a részletekbe, tekintsük át az incidens tulajdonságait és teljes támadási történetét.

Első lépésként válassza ki az incidenst a pipa oszlopból. Íme egy példa.

Incidens kiválasztása a Microsoft Defender portálon

Ekkor megnyílik egy összefoglaló ablaktábla, amely az incidenssel kapcsolatos legfontosabb információkat tartalmazza, például az incidens részleteit, az ajánlott műveleteket és a kapcsolódó fenyegetéseket. Íme egy példa.

A Microsoft Defender portálon az incidens összegző adatait megjelenítő panel.

Innen kiválaszthatja az Incidens lap megnyitása lehetőséget. Ez megnyitja az incidens főoldalát, ahol megtalálhatja a riasztások, eszközök, felhasználók, vizsgálatok és bizonyítékok teljes támadási történetének információit és lapjait. Az incidens főoldalát úgy is megnyithatja, hogy kiválasztja az incidens nevét az incidenssorból.

Megjegyzés:

A Microsoft Security Copilot létesített hozzáféréssel rendelkező felhasználók a képernyő jobb oldalán láthatják a Copilot panelt, amikor megnyitnak egy incidenst. A Copilot valós idejű elemzéseket és javaslatokat nyújt az incidensek kivizsgálásához és megválaszolásához. További információ: Microsoft Defender Microsoft Copilot.

Támadási történet

A támadási történetek segítségével gyorsan áttekintheti, kivizsgálhatja és elháríthatja a támadásokat, miközben ugyanazon a lapon tekintheti meg a támadás teljes történetét. Emellett lehetővé teszi az entitás részleteinek áttekintését és a szervizelési műveletek végrehajtását, például egy fájl törlését vagy egy eszköz elkülönítését a környezet elvesztése nélkül.

A támadás történetéről röviden az alábbi videóban olvashat.

A támadási történetben megtalálhatja a riasztási oldalt és az incidensgráfot.

Az incidensriasztási oldal a következő szakaszokból áll:

  • Riasztási történet, amely a következőket tartalmazza:

    • Mi történt
    • Végrehajtott műveletek
    • Kapcsolódó események

  • Riasztás tulajdonságai a jobb oldali panelen (állapot, részletek, leírás és egyebek)

Vegye figyelembe, hogy nem minden riasztás rendelkezik a Riasztási történet szakasz összes felsorolt alszakaszával.

A grafikonon a támadás teljes hatóköre, a támadás időbeli terjedése, a támadás kezdete és a támadó által elért távolság látható. Összekapcsolja a támadás részét képező különböző gyanús entitásokat a kapcsolódó objektumokkal, például felhasználókkal, eszközökkel és postaládákkal.

A grafikonon a következőket teheti:

  • A támadás időrendjének megértéséhez játssza le a riasztásokat és a csomópontokat a gráfon az idő múlásával.

    Képernyőkép a riasztások és csomópontok lejátszásáról a támadási történet gráflapján.

  • Nyisson meg egy entitáspanelt, ahol áttekintheti az entitás részleteit, és szervizelési műveleteket hajthat végre, például fájlokat törölhet vagy eszközöket elkülöníthet.

    Képernyőkép az entitás részleteinek áttekintéséről a támadási történet gráfoldalán.

  • A riasztások kiemelése azon entitás alapján, amelyhez kapcsolódnak.

  • Eszköz, fájl, IP-cím, URL-cím, felhasználó, e-mail, postaláda vagy felhőerőforrás entitásadatainak keresése.

Go hunt

A go hunt művelet kihasználja a speciális veszélyforrás-keresési funkciót, hogy releváns információkat találjon egy entitásról. A go hunt lekérdezés ellenőrzi a releváns sématáblákat a vizsgált entitást érintő események vagy riasztások esetében. Az entitással kapcsolatos releváns információk megkereséséhez bármelyik lehetőséget kiválaszthatja:

  • Az összes elérhető lekérdezés megtekintése – a beállítás a vizsgált entitástípushoz tartozó összes elérhető lekérdezést visszaadja.
  • Minden tevékenység – a lekérdezés az entitáshoz társított összes tevékenységet visszaadja, így átfogó képet nyújt az incidens környezetéről.
  • Kapcsolódó riasztások – a lekérdezés megkeresi és visszaadja az adott entitást érintő összes biztonsági riasztást, biztosítva, hogy ne maradjon le semmilyen információról.

A támadási történetben szereplő eszközön a go hunt lehetőség kiválasztása

Az eredményként kapott naplók vagy riasztások az eredmények kiválasztásával, majd az Incidens csatolása lehetőség kiválasztásával kapcsolhatók össze egy incidenssel.

Az incidensre mutató hivatkozás kiemelése a keresési lekérdezés eredményei között

Ha az incidens vagy a kapcsolódó riasztások egy ön által beállított elemzési szabály eredményei voltak, a Lekérdezés futtatása lehetőséget is választhatja a többi kapcsolódó eredmény megtekintéséhez.

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Támadási útvonalak

Az incidensgráf a támadási útvonalakról is tartalmaz információkat. Ezek az útvonalak lehetővé teszik a biztonsági elemzők számára, hogy meghatározzák, hogy a támadó milyen más entitásokat célozhat meg legközelebb. A támadási útvonal megtekintéséhez kattintson egy entitásra az incidensgráfban, és válassza a Támadási útvonalak megjelenítése lehetőséget. A támadási útvonalak a kritikus objektumcímkével rendelkező entitásokhoz érhetők el.

A Támadási útvonalak megjelenítése művelet kiemelése az incidensgráfban.

A Támadási útvonalak megjelenítése lehetőség kiválasztásakor megnyílik egy oldalsó panel, amely megjeleníti a kiválasztott entitás támadási útvonalainak listáját. A támadási útvonalak táblázatos formátumban jelennek meg, a támadási útvonal neve, a belépési pont, a belépési pont típusa, a cél, a cél típusa és a cél kritikussága.

Ha kiválaszt egy támadási útvonalat a listából, megjelenik a támadási útvonal grafikonja, amely a belépési pont és a cél közötti támadási útvonalat jeleníti meg. A Térkép megtekintése lehetőség választásával megnyílik egy új ablak a támadási útvonal teljes megtekintéséhez.

Példa a támadási útvonal ábrájára, amely az oldalsó panelen látható.

Megjegyzés:

A támadási útvonal részleteinek megtekintéséhez olvasási hozzáférési engedélyekkel kell rendelkeznie a Microsoft Defender portálon, valamint a Microsoft Biztonságikitettség-kezelés licencével.

Az egyesített biztonsági műveleti platform Microsoft Sentinel támadási útvonalának részleteinek megtekintéséhez Sentinel Olvasó szerepkörre van szükség. Új támadási útvonalak létrehozásához biztonsági rendszergazdai szerepkör szükséges.

Riasztások

A Riasztások lapon megtekintheti az incidenssel kapcsolatos riasztások és az azokkal kapcsolatos egyéb információk riasztási üzenetsorát, például az alábbiakat:

  • A riasztások súlyossága.
  • A riasztásban érintett entitások.
  • A riasztások forrása (Microsoft Defender for Identity, Végponthoz készült Microsoft Defender, Office 365-höz készült Microsoft Defender, Defender for Cloud Apps, és az alkalmazásirányítási bővítmény).
  • Az ok, amiért össze voltak kapcsolva.

Íme egy példa.

Incidens riasztások panelje a Microsoft Defender portálon

Alapértelmezés szerint a riasztások időrendben vannak rendezve, hogy láthassa, hogyan játszott le a támadás az idő múlásával. Amikor kiválaszt egy riasztást egy incidensen belül, Microsoft Defender XDR megjeleníti az általános incidens környezetére vonatkozó riasztási információkat.

Megtekintheti a riasztás eseményeit, amelyek más aktivált riasztások okozták az aktuális riasztást, valamint a támadásban érintett összes entitást és tevékenységet, beleértve az eszközöket, fájlokat, felhasználókat, felhőalkalmazásokat és postaládákat.

Íme egy példa.

Egy incidensen belüli riasztás részletei a Microsoft Defender portálon.

Megtudhatja, hogyan használhatja a riasztási üzenetsort és a riasztási oldalakat a riasztások vizsgálatához.

Megjegyzés:

Ha rendelkezik hozzáféréssel a Microsoft Purview belső kockázatkezelés, megtekintheti és kezelheti a belső kockázatkezelési riasztásokat, és megkeresheti a belső kockázatkezelési eseményeket a Microsoft Defender portálon. További információ: Insider risk threats in the Microsoft Defender portal (Belső kockázati fenyegetések vizsgálata a Microsoft Defender portálon).

Tőke

Az új Eszközök lapon egyszerűen megtekintheti és kezelheti az összes objektumot egy helyen. Ez az egyesített nézet tartalmazza az Eszközöket, a Felhasználókat, a Postaládákat és az Alkalmazásokat.

Az Eszközök lap a neve mellett megjeleníti az eszközök teljes számát. Az Eszközök lap kiválasztásakor megjelenik a különböző kategóriák listája az adott kategórián belüli eszközök számával.

Incidens Adategységek lapja a Microsoft Defender portálon

Eszközök

Az Eszközök nézet felsorolja az incidenshez kapcsolódó összes eszközt. Íme egy példa.

Egy incidens Eszközök lapja a Microsoft Defender portálon

Ha kiválaszt egy eszközt a listából, megnyílik egy sáv, amely lehetővé teszi a kiválasztott eszköz kezelését. Gyorsan exportálhat, kezelhet címkéket, kezdeményezhet automatizált vizsgálatot stb.

Az eszközhöz tartozó pipa bejelölésével megtekintheti az eszköz részleteit, a címtáradatokat, az aktív riasztásokat és a bejelentkezett felhasználókat. Válassza ki az eszköz nevét az eszköz részleteinek megtekintéséhez a Végponthoz készült Defender eszközleltárában. Íme egy példa.

Az eszközök beállításai a Microsoft Defender portál Eszközök lapján.

Az eszközoldalon további információkat gyűjthet az eszközről, például az összes riasztást, egy ütemtervet és biztonsági javaslatokat. Az Idősor lapon például végiggörgethet az eszköz ütemtervén, és a gépen megfigyelt összes eseményt és viselkedést időrendben tekintheti meg, a riasztásokkal együtt.

Felhasználók

A Felhasználók nézet felsorolja az összes olyan felhasználót, akiről megállapították, hogy az incidens része vagy ahhoz kapcsolódik. Íme egy példa.

A Microsoft Defender portál Felhasználók lapja.

A felhasználói fiók fenyegetésének, kitettségének és kapcsolattartási adatainak megtekintéséhez jelölje be a felhasználó pipát. Válassza ki a felhasználónevet a felhasználói fiók további részleteinek megtekintéséhez.

Megtudhatja, hogyan tekinthet meg további felhasználói adatokat, és hogyan kezelheti az incidens felhasználóit a felhasználók vizsgálata során.

Postaládák

A Postaládák nézet felsorolja az összes olyan postaládát, amelyet az incidens részeként vagy ahhoz kapcsolódóként azonosítottak. Íme egy példa.

Egy incidens Postaládák lapja a Microsoft Defender portálon.

Az aktív riasztások listájának megtekintéséhez jelölje be a postaláda pipáját. Válassza ki a postaláda nevét a további postaládaadatok megtekintéséhez a Office 365-höz készült Defender Intéző lapján.

Apps

Az Alkalmazások nézet felsorolja az incidens részét képező vagy ahhoz kapcsolódó összes alkalmazást. Íme egy példa.

Egy incidens Alkalmazások lapja a Microsoft Defender portálon.

Az aktív riasztások listájának megtekintéséhez jelölje be az alkalmazás pipáját. Válassza ki az alkalmazás nevét a további részletek megtekintéséhez a Defender for Cloud Apps Explorer oldalán.

Felhőbeli erőforrások

A Felhőerőforrások nézet felsorolja az incidens részét képező vagy ahhoz kapcsolódó összes felhőerőforrást. Íme egy példa.

Egy incidens Felhőerőforrások lapja a Microsoft Defender portálon.

A felhőbeli erőforrások pipájának bejelölésével megtekintheti az erőforrás részleteit és az aktív riasztások listáját. Válassza a Felhőbeli erőforrásoldal megnyitása lehetőséget a további részletek megtekintéséhez és a teljes részletek megtekintéséhez a Microsoft Defender for Cloudban.

Vizsgálatok

A Vizsgálatok lap felsorolja az incidens riasztásai által aktivált összes automatizált vizsgálatot . Az automatizált vizsgálatok szervizelési műveleteket hajtanak végre, vagy megvárják a műveletek elemző általi jóváhagyását attól függően, hogy hogyan konfigurálta az automatizált vizsgálatok futtatását a Végponthoz készült Defenderben és Office 365-höz készült Defender.

Egy incidens Vizsgálat lapja a Microsoft Defender portálon

Válasszon ki egy vizsgálatot, hogy a részletek lapjára navigáljon a vizsgálat és a szervizelés állapotával kapcsolatos teljes körű információkért. Ha a vizsgálat részeként jóváhagyásra váró műveletek vannak, azok a Függőben lévő műveletek lapon jelennek meg. Beavatkozás az incidensek szervizelése során.

Egy Vizsgálat gráffül is látható, amely a következőket jeleníti meg:

  • A riasztások kapcsolata a szervezet érintett eszközeihez.
  • Mely entitások kapcsolódnak ahhoz, hogy mely riasztások és hogyan részei a támadás történetének.
  • Az incidensre vonatkozó riasztások.

A vizsgálati gráf segítségével gyorsan megértheti a támadás teljes hatókörét azáltal, hogy összekapcsolja a támadás részét képező különböző gyanús entitásokat a kapcsolódó objektumokkal, például felhasználókkal, eszközökkel és postaládákkal.

További információ: Automatizált vizsgálat és reagálás Microsoft Defender XDR.

Bizonyítékok és válaszok

A Bizonyítékok és válasz lap megjeleníti az incidens riasztásaiban szereplő összes támogatott eseményt és gyanús entitást. Íme egy példa.

Egy incidens bizonyítékai és válaszoldala az Microsoft Defender portálon

Microsoft Defender XDR automatikusan megvizsgálja az incidensek által támogatott eseményeket és a riasztásokban szereplő gyanús entitásokat, és információkat nyújt a fontos e-mailekről, fájlokról, folyamatokról, szolgáltatásokról, IP-címekről és egyebekről. Ez segít gyorsan észlelni és blokkolni az incidens potenciális fenyegetéseit.

Az elemzett entitások mindegyike ítélettel (rosszindulatú, gyanús, tiszta) és szervizelési állapottal van megjelölve. Ez segít megérteni a teljes incidens szervizelési állapotát, és hogy milyen további lépések végezhetők el.

Szervizelési műveletek jóváhagyása vagy elutasítása

A Függőben lévő jóváhagyás javítási állapotú incidensek esetén jóváhagyhat vagy elutasíthat egy szervizelési műveletet, megnyithatja az Explorerben, vagy a Go hunt (Ugrás) műveletet a Bizonyítékok és válaszok lapon. Íme egy példa.

A Microsoft Defender portál Bizonyítékok és válaszok kezelése paneljén található Jóváhagyás\Elutasítás lehetőség.

Összefoglalás

Az Összefoglalás lapon felmérheti az incidens relatív fontosságát, és gyorsan elérheti a kapcsolódó riasztásokat és érintett entitásokat. Az Összefoglalás lapon pillanatképeket tekinthet meg az incidenssel kapcsolatos legfontosabb tudnivalókról.

Képernyőkép egy incidens összefoglaló adatairól a Microsoft Defender portálon.

Az információk ezekben a szakaszokban vannak rendszerezve.

Szakasz Leírás
Riasztások és kategóriák Vizuális és numerikus nézet, amely bemutatja, hogyan haladt előre a támadás a leölési lánc ellen. A microsoftos biztonsági termékekhez hasonlóan a Microsoft Defender XDR is a MITRE ATT&CK-keretrendszerhez™ igazodik. A riasztások idővonala megjeleníti a riasztások előfordulásának időrendi sorrendjét, valamint az egyes riasztások állapotát és nevét.
Kiterjedés Megjeleníti az érintett eszközök, felhasználók és postaládák számát, valamint felsorolja az entitásokat a kockázati szint és a vizsgálat prioritása szerint.
Riasztások Megjeleníti az incidensben érintett riasztásokat.
Bizonyíték Megjeleníti az incidens által érintett entitások számát.
Incidensadatok Megjeleníti az incidens tulajdonságait, például címkéket, állapotot és súlyosságot.

Hasonló incidensek

Egyes incidensek hasonló incidenseket sorolhatnak fel a Hasonló incidensek oldalon. Ez a szakasz a hasonló riasztásokkal, entitásokkal és egyéb tulajdonságokkal rendelkező incidenseket mutatja be. Ez segíthet megérteni a támadás hatókörét, és azonosítani az esetlegesen kapcsolódó egyéb incidenseket. Íme egy példa.

Képernyőkép egy incidens hasonló incidensek lapjáról az Microsoft Defender portálon.

Tipp

A Defender Boxed az elmúlt hat hónap/év biztonsági sikereit, fejlesztéseit és reagálási műveleteit bemutató kártyasorozat minden év januárjában és júliusában korlátozott ideig jelenik meg. Megtudhatja, hogyan oszthatja meg a Defender Boxed kiemeléseit .

Következő lépések

Szükség szerint:

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.